Защитите свой ПК с помощью новых функций безопасности в

МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Джастин Харрисон
Защитите свой ПК с помощью новых функций
безопасности в Windows Vista
Журнал TechNet Magazine, декабрь 2006 года
http://www.microsoft.com/technet/technetmag/issues/2006/11/Defend
er
Джастин Харрисон (Justin Harrison) (justin@harrison.org) является
специалистом по безопасности Windows, технологиям цифровых
носителей и цифровых документов. А еще раньше он работал в
рабочих группах GE Energy, Digital Documents и Casual Games
корпорации Майкрософт.
Несколько лет назад председатель правления корпорации
Майкрософт (и затем главный архитектор программного обеспечения)
Билл Гейтс призвал своих сотрудников к тому, чтобы сделать
надежность вычислительной среды наивысшим приоритетом
компании. Наряду с этим объявлением в практику разработки ПО в
компании Майкрософт был внедрен ряд перемен.
Windows Vista™ – первая операционная система, полностью
разработанная согласно рекомендациям программы «Безопасность в
ходе всего цикла» (SDL). Эта программа регламентирует процесс
разработки, направленный на обеспечение безопасности, и имеет
целью внедрить безопасность в самую сущность проектирования ПО;
и все широко используемые продукты Майкрософт должны следовать
этим рекомендациям. (Для получения дополнительной информации
об SDL прочтите книгу The Security Development Lifecycle, авторы
Майкл Говард (Michael Howard) и Стив Липнер (Steve Lipner),
издательство Microsoft Press®, 2006).
Также
Windows
Vista
включает
в
себя
новые
и
усовершенствованные технологии безопасности, целью работы
которых
является
обнаружение
и
предотвращение
угроз
безопасности. Все эти изменения означают, что Windows Vista
является самой безопасной версией системы Windows ® на
сегодняшний день. В этой статье мы обсудим новый компонент
безопасности в составе Панели управления – Security Center/Центр
безопасности Windows и такие встроенные средства защиты как
Windows Defender/Защитник Windows, Windows Firewall/Брандмауэр
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Windows, и User Account Control/Управление учетной записью
пользователя
(UAC).
Панель управления безопасности
Когда вы откроете панель управления в Windows Vista, то
увидите, что она организована в виде десяти функциональных
областей, и большинство компонентов безопасности связаны с
областями Безопасность, Программы, Сеть и Интернет. Чтобы
получить доступ ко многим из новых технологий безопасности,
которые защищают вас в Windows Vista, можно использовать
компонент Security/Безопасность, как показано в табл. 1.
Таблица 1
Технологии безопасности в Windows XP
Функция
Описание
Центр
безопасности
Проверка обновлений; проверка состояния
безопасности;
включение
автоматического
обновления; проверка состояния брандмауэра;
ввод пароля при включении.
Брандмауэр
Windows
Включение и выключение брандмауэра Windows;
настройка
программ
для
работы
через
брандмауэр Windows.
Обновление
Windows
Включение
автоматического
обновления;
проверка
наличия
обновлений;
просмотр
установленных обновлений.
Защитник
Windows
Проверка на наличие шпионского ПО и другого
нежелательного ПО.
Параметры
Интернета
Изменение параметров безопасности; удаление
файлов «cookie»; удаление журнала.
Родительский
контроль
Установить родительский контроль для любого
пользователя; просмотреть отчеты о действиях.
Шифрование
дисков BitLocker
Включение шифрования BitLocker.
Также можно проверить наличие обновлений в Центре
обновления Windows, включить шифрование дисков BitLocker™,
удалить файлы «cookie», очистить журнал и установить пароль для
включения компьютера.
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
C помощью модуля «Безопасность» также осуществляется
доступ к Центру безопасности, где собраны воедино все средства
обеспечения безопасности компьютера.
Централизованное управление безопасностью
До включения Центра безопасности в состав пакета обновления
2 (SP2) для Windows Service настраивать все параметры безопасности
Windows было непросто. Центр безопасности – это единое место, из
которого можно удобно управлять всеми важными параметрами
безопасности Windows.
Центр безопасности Windows работает в фоновом режиме и
следит за четырьмя основными функциями, как показано на рис. 1:
Брандмауэр, автоматическое обновление, защита от вредоносных
программ (вирусов и шпионского ПО) и другие параметры
безопасности (Интернет и управление учетными записями
пользователя).
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Рис. 1. Интерфейс центра безопасности Windows
Центр безопасности Windows позволяет увидеть, какая
программа работает в качестве межсетевого экрана на вашем
компьютере, или в качестве антивирусного решения. Также здесь
можно
проверить
состояние
брандмауэра,
использование
автоматического обновления и настройку учетных записей
пользователей.
Центр безопасности Windows не только управляет встроенными
средствами безопасности Windows, но и приложениями сторонних
разработчиков. Проверяется следующее:
 установлен ли брандмауэр и включен ли он;
 установлена ли антивирусная программа, обновлена ли ее
база данных и включено ли сканирование в реальном
времени;
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
 установлена ли программа защиты от шпионского ПО,
обновлена ли ее база данных и включено ли сканирование в
реальном времени.
Центр безопасности Windows использует два метода для
обнаружения сторонней антивирусной программы или брандмауэра. В
ручном режиме Центр безопасности Windows ищет разделы реестра и
файлы, которые позволяют ему обнаружить статус программного
обеспечения. Также Центр безопасности опрашивает поставщиков
инструментария WMI, созданных сторонними разработчиками, и
получает при опросе их состояние. Это означает, что посредством
Центра безопасности для управления компьютером и его защиты
можно использовать не только встроенные средства безопасности
Windows, но и антивирусные программы и брандмауэры, созданные
сторонними разработчиками.
Центром безопасности Windows можно управлять с помощью
групповых политик. По умолчанию эта функция отключена в доменных
средах. Чтобы включить Центр безопасности Windows, перейдите к
узлу Конфигурация компьютера \ Административные шаблоны \
Компоненты Windows \ Центр обеспечения безопасности. Здесь
следует включить политику Turn on Security Center/Включить центр
безопасности (только для компьютеров домена).
Центр безопасности Windows также управляет состоянием
контроля учетных записей и параметрами безопасности Интернета.
Управление учетной записью пользователя позволяет использовать
компьютер с правами обычного пользователя, а не администратора,
что более безопасно. Если вы вошли в систему как обычный
пользователь, то сделанные вами изменения не затронут всю систему
и ущерб при установке нежелательного ПО будет ограничен.
В Windows Vista, если вы работаете как обычный пользователь
на компьютере, который не является частью домена, и при этом какаянибудь программа собирается выполнить действие, затрагивающее
всю систему, ОС выдаст запрос на ввод пароля учетной записи
администратора. Если же вы работаете как администратор, Windows
Vista выдаст запрос на разрешение выполнить действие в рамках всей
системы, и, таким образом, поставит вас в известность (и получит
ваше согласие) о действии, прежде чем оно будет выполнено.
В доменной среде служба контроля учетных записей
управляется групповыми политиками. Если компьютер не является
частью домена, служба контроля учетных записей управляется
локальной политикой безопасности. Параметры политик доступны по
адресу Конфигурация компьютера\Параметры системы\Локальные
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
политики\Параметры безопасности в редакторе локальной политики
безопасности или в редакторе групповых политик. Запустить редактор
локальной политики безопасности можно из панели управления с
помощью
компонентов
«Система
и
ее
обслуживание\
Администрирование».
Как показано в табл. 2, Центр безопасности Windows управляет
параметрами безопасности Интернета.
Таблица 2
Параметры безопасности Интернета
С помощью Центра безопасности Windows можно управлять
следующими параметрами Интернета:
Загрузка подписанных элементов управления ActiveX
Загрузка неподписанных элементов управления ActiveX
Запуск сценариев и элементов управления ActiveX, не имеющих
отметки о безопасности
Установка компонентов настольного ПК
Запуск приложений и небезопасных файлов
Запуск программ и файлов в IFRAME
Разрешения каналов ПО
Если параметр изменяется на небезопасное состояние, в окне
«Свойства Интернета» появится сообщение «Компьютер подвержен
повышенному риску», и в Internet Explorer ® появится сообщение
«Текущая настройка безопасности подвергает этот компьютер
повышенному риску. Щелкните здесь, чтобы изменить параметры
безопасности…». Центр безопасности Windows также отобразит
уведомление в случае, если не используются рекомендованные
параметры
безопасности.
Если
открыть окно
«Параметры
безопасности Интернета», то небезопасные параметры будут
выделены красным цветом (рис. 2).
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Рис. 2. Выделение небезопасных параметров
Центр безопасности Windows может исправить небезопасные
параметры. Для этого щелкните команду «Восстановить параметры
безопасности Windows», как показано на рис. 3.
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Рис. 3. Диалоговое окно Центра безопасности Windows
Защитник Windows
Троянские программы, шпионское ПО и другие вредоносные
программы стали представлять все большую опасность. Они
подвергают
вашу
информацию
опасности,
снижают
производительность компьютера и могут вызвать сбои системы. В
2004 г. корпорация Майкрософт приобрела компанию Giant Software
для защиты своих пользователей от шпионского ПО. Новые
технологии защиты теперь встроены в систему Windows Vista под
названием Защитник Windows (его также можно загрузить и для
Windows XP).
Нет необходимости менять параметры Защитника Windows сразу
после установки Windows Vista. Защитник Windows по умолчанию
настроен так, чтобы обеспечить наивысшую безопасность компьютера
при бесперебойной работе, поэтому можно сосредоточиться на
работе с компьютером, а не на его защите. Защитник Windows
обеспечивает защиту в реальном времени и ежедневно,
приблизительно в 2 часа ночи, автоматически проверяет наличие и
загружает обновленные определения шпионского ПО; вредоносное
ПО автоматически удаляется. Для изменения параметров защиты
выберите меню «Сервис» - «Общие параметры» в Защитнике
Windows.
Защита в режиме реального времени означает, что Защитник
Windows постоянно следит за работой программ на компьютере и
реагирует на потенциально вредоносные действия. При помощи
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
девяти агентов безопасности, перечисленных в табл. 3, ведется
наблюдение за возможной работой нежелательного ПО в различных
частях системы.
Таблица 3
Агенты безопасности Защитника Windows
Агент
Управляет
Настройка Internet
Explorer
Параметры безопасности обозревателя.
Загрузки Internet Explorer
Приложения, которые работают с
Internet Explorer, такие как элементы
управления ActiveX и программы
установки ПО.
Надстройки Internet
Explorer (объекты модуля
поддержки обозревателя)
Приложения, которые запускаются
автоматически при запуске Internet
Explorer.
Автозапуск
Приложения, которые загружаются при
запуске Windows, как посредством
реестра, так и с помощью папки
«Автозагрузка» Windows.
Настройка системы
Параметры, связанные с безопасностью
в Windows.
Службы и драйверы
Службы и драйверы, и их
взаимодействие с Windows и
приложениями.
Дополнения к Windows
Встроенные служебные программы
Windows.
Выполнение приложений
Запуск и выполнение приложений.
Регистрация приложений
(API hooks)
Файлы и инструменты в операционной
системе, где приложения могут
запускаться сами.
Вместе агенты безопасности Защитника Windows защищают все
участки системы, уязвимые для шпионского ПО.
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Ответ на угрозу
Защитник Windows извещает вас, когда находит потенциально
нежелательное программное обеспечение или обнаруживает
подозрительное поведение.
Когда происходит безвредное (низкий уровень угрозы)
изменение, Защитник Windows сообщает об этом, отображая
восклицательный знак на панели задач. Для более серьезных угроз
(среднего или высокого уровня), Защитник Windows отображает
желтый или красный диалог в зависимости от уровня угрозы, как
показано на рис. 4.
Рис. 4. Пример красного уровня угрозы
Эти виды угроз требуют немедленного ответа.
Все действия, выполняемые Защитником Windows, заносятся в
журнал событий (в качестве источника указывается «Защитник
Windows»). Такие действия включают в себя обновления
определений, сканирования и удаления шпионского ПО.
Предупреждения об угрозах Защитника Windows образуют некую
структуру и вы можете поработать с ней. Может быть перечислено
несколько угроз в списке, и вы можете выбрать, отвечать ли на все
угрозы ("Удалить все") в диалоге предупреждения об угрозах. Также
можно настроить предупреждения об опасности на различную
реакцию при обнаружении различных угроз.
Чтобы настроить предупреждения об угрозах, откройте окно
Защитника Windows и щелкните «Сервис» - «Параметры». Прокрутите
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
окно до «Параметры защиты в режиме реального времени» и
выберите, должен ли Защитник Windows уведомлять вас о
программах, которые еще не были классифицированы по уровню
риска, и об изменениях, выполненных на компьютере программами,
которым разрешено выполняться.
Отметим, что, если приложение, которое вы создали или
используете, неправильно классифицируется Защитником Windows,
вы можете заполнить форму-претензию разработчика по адресу
microsoft.com/athome/security/spyware/software/isv/cdform.aspx.
Если
приложение ошибочно принимается за шпионское ПО, вы можете
сообщить
о
ложной
тревоге
по
адресу
microsoft.com/athome/security/spyware/software/isv/fpform.aspx.
Защита по требованию
Защитник Windows тщательно следит за потенциально
нежелательным программным обеспечением, но вы также можете
сами запустить сканирование на наличие шпионского ПО всякий раз,
когда полагаете, что это необходимо. Защитник Windows предлагает
три типа сканирований:
При быстром сканировании проверяются все области
компьютера, которые с наибольшей вероятностью подвержены
заражению.
При полном сканировании проверяются все файлы на жестком
диске, запущенные приложения, реестр и прочее.
При настраиваемом сканировании можно проверить только
определенные файлы и папки, но сначала выполняется быстрое
сканирование.
Для начала сканирования запустите Защитник Windows и
щелкните стрелку вниз рядом с кнопкой «Проверить», затем выберите
способ сканирования, как показано на рис. 5.
Рис. 5. Меню способов сканирования
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Если в ходе сканирования обнаруживается опасность, Защитник
Windows отображает описание опасности и список возможных
действий по ее устранению. По умолчанию он отображает наилучшее
действие в данной ситуации.
Если обнаружено несколько опасностей, можно выбрать
различные действия по их устранению и применить все действия
одновременно, нажав кнопку «Применить действия», или же удалить
все опасности, нажав кнопку «Удалить все». Можно выбрать
следующие действия:
 удалить – полностью удалить угрозу из системы;
 игнорировать – не обращать внимания на угрозу. При
сканировании в следующий раз Защитник Windows обнаружит
эту угрозу снова;
 карантин – временно отключить угрозу. Это действие можно
использовать, чтобы проверить, повлияло ли удаление угрозы
на работу компьютера. Можно в любой момент отменить
карантин, выбрав соответствующую команду Защитника
Windows;
 всегда разрешать – не считать данную программу опасной и
добавить ее в список разрешенных. Для удаления элементов
из этого списка выберите меню «Сервис» - «Параметры»
Защитника Windows.
Предотвращение сетевых атак
Брандмауэр Windows в Windows Vista отслеживает как входящий,
так и исходящий трафик, и более совершенен по сравнению с
брандмауэром Windows XP. Брандмауэр Windows Vista осуществляет
фильтрацию как входящего, так и исходящего трафика. Также здесь
можно настроить правила для следующих элементов:
 учетные записи и группы Active Directory;
 номер IP-протокола;
 определенные типы интерфейсов;
 службы;
 ICMP и ICMPv6 по типу и коду;
 IP-адреса источника и назначения;
 все порты TCP или UDP, или только определенные порты.
В Windows Vista также можно разрешить определенной
программе доступ к сети или запретить трафик всем программам,
кроме перечисленных в списке исключений. Чтобы получить доступ к
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
списку исключений, нажмите кнопку «Пуск» и выберите «Панель
управления», «Безопасность», а затем щелкните «Разрешение
запуска программы через брандмауэр Windows».
По умолчанию брандмауэр Windows блокирует входящий трафик
всех программ, не имеющих явного разрешения или не
соответствующих правилам, и разрешает весь исходящий трафик,
даже если он не соответствует правилам.
Windows Vista содержит новую оснастку консоли управления под
названием
«Брандмауэр
Windows
в
режиме
повышенной
безопасности» (рис. 6), которая позволяет администраторам
настраивать параметры брандмауэра Windows на удаленных
компьютерах.
Рис. 6. Брандмауэр Windows в режиме повышенной безопасности
Чтобы получить доступ к этой оснастке, на панели управления
выберите «Система и ее обслуживание» - «Администрирование», и
затем щелкните «Брандмауэр Windows в режиме повышенной
безопасности». С помощью редактора групповых политик выберите
«Конфигурация компьютера», «Параметры Windows», «Параметры
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
безопасности, «Брандмауэр Windows в режиме повышенной
безопасности». Также вы можете настроить новые дополнительные
параметры безопасности из командной строки, используя команду
netsh advfirewall.
При каждом подключении к новой сети Windows Vista создает
профиль только для этой сети. При повторном подключении к сети
Windows Vista использует параметры, сохраненные в профиле. При
подключении к новой сети в первую очередь следует указать, какая
это сеть: общего пользования или частная. Это определяет тип
профиля, который брандмауэр Windows загружает для задания
настройки и правил. Чтобы изменить профили, выберите «Свойства
брандмауэра Windows» в оснастке «Брандмауэр Windows в режиме
повышенной безопасности», затем выберите вкладку «Частный
профиль» или «Публичный профиль».
При необходимости можно изменить профиль, связанный с
сетью, после подключения: это можно сделать в центре управления
сетями и общим доступом. Для этого перейдите в Control Panel |
Network and Internet | Network and Sharing Center (Панель управления |
Сеть и Интернет | Центр управления сетями и общим доступом).
Чтобы изменить профиль сети, нажмите кнопку «Настроить» рядом с
названием сети, к которой вы подключены.
Заключение
Windows Vista представляет собой первую полную версию
операционной системы, выпущенную после того, как несколько лет
назад была принята программа безопасности. OC Windows Vista
разработана по правилам обеспечения безопасности на всем цикле
разработки и содержит встроенные средства безопасности, такие как
Защитник Windows, брандмауэр Windows и контроль учетных записей.
Это обеспечивает наивысший уровень безопасности как при
автономной работе, так и в сети. Центр безопасности Windows,
брандмауэр Windows и контроль учетных записей пользователя – все
эти компоненты могут быть настроены посредством групповой
политики, что позволяет эффективно применять их как в сети с
доменом, так и на персональном компьютере.
Сообщество SpyNet
Постоянно возникают новые угрозы безопасности, и иногда даже
ежедневного обновления недостаточно для обеспечения надежной
защиты. Для дополнительной защиты пользователей, помимо
обновлений определений шпионского ПО, корпорация Майкрософт
приглашает пользователей вступить в сообщество SpyNet – это
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
сетевое сообщество, которое накапливает и совместно использует
информацию о шпионском ПО.
Сообщество Spynet является добровольным международным
сообществом пользователей, которые сообщают в корпорацию
Майкрософт о фактах обнаружения шпионского ПО. Участники этого
сообщества
помогают
определить,
какие
программы
в
действительности
являются
шпионскими,
а
также
быстро
обнаруживать новые угрозы, что способствует лучшей защите
пользователей Windows.
Чтобы вступить в сообществ SpyNet, необходимо явно заявить о
своем желании. Если вы не хотите вступать в сообщество, никакая
информация о возможном заражении шпионским ПО не будет
посылаться в SpyNet. При этом не будет отображаться уведомление
об обнаружении на компьютере неизвестных и потенциально
нежелательных программ. Неклассифицированное, потенциально
нежелательное программное обеспечение может в конечном счете
быть классифицировано в регулярных обновлениях определений
шпионского ПО.
Существует два способа участия:
Расширенное участие. Участники посылают в Майкрософт
информацию о неклассифицированном ПО и о предпринятых
действиях.
Такие
участники
предупреждаются
о
текущем
неклассифицированном ПО, которое может быть небезопасным. При
этом может посылаться некоторая личная информация, но
Майкрософт не будет использовать ее для контакта с вами.
Участники с расширенным участием получают статистику об
удалениях, показывающую, как другие участники реагировали на эту
угрозу. Эта информация поможет принять решение о том,
действительно ли данное ПО опасно. Например, новое приложение
распространяется через Интернет, и Защитник Windows определяет
его как подозрительное, опытные участники могут сообщить об этом в
SpyNet и удалить это приложение. Узнав, сколько пользователей
сообщили и удалили эту программу, вы сможете принять более
взвешенное решение о том, что делать.
Обычное участие. В Майкрософт посылается основная
информация о подозрительном программном обеспечении. При этом
может посылаться некоторая личная информация, но Майкрософт не
будет использовать ее для контакта с вами. Участники с обычным
участием
не
предупреждаются
о
неклассифицированном
программном обеспечении.
Чтобы присоединиться к сообществу Spynet, откройте Защитник
Windows и выберите «Сервис», затем щелкните «Microsoft SpyNet».
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE